5.2 Lecke 1
Tanúsítvány: |
Linux Essentials |
---|---|
Verzió: |
1.6 |
Témakör: |
5 Biztonság és Fájlokkal Kapcsolatos Jogosultságok |
Fejezet: |
5.2 Felhasználók és Csoportok Létrehozása |
Lecke: |
1/1 |
Bevezetés
Linux rendszeren a felhasználók és csoportok menedzselése az egyik legfontosabb rendszeradminisztrációs feladat. Valójában a Linux egy többfelhasználós operációs rendszer, amelyet több felhasználó is használhat egyszerre.
A felhasználókról és csoportokról szóló információk négy fájlban van tárolva az /etc/
mappában:
/etc/passwd
-
egy fájl, hét, kettősponttal elválasztott mezővel, amelyek a felhasználókról tartalmaznak alapvető információkat
/etc/group
-
egy fájl, négy, kettősponttal elválasztott mezővel, amelyek a csoportokról tartalmaznak alapvető információkat
/etc/shadow
-
egy fájl, kilenc, kettősponttal elválasztott mezővel, amelyek a felhasználók titkosított jelszavait tartalmazzák
/etc/gshadow
-
egy fájl, négy, kettősponttal elválasztott mezővel, amelyek a csoportotk titkosított jelszavait tartalmazzák
Ezeket a fájlokat parancssori eszközök frissítik a felhasználók és csoportok kezeléséhez, amelyeket ebben a leckében tárgyalunk majd. Grafikus alkalmazások is kezelhetik őket, minden Linux disztribúció esetén más-más, amelyek egyszerűbb és azonnali felügyeleti felületeket biztosítanak.
Warning
|
Annak ellenére, hogy a fájlok egyszerű szövegek, ne szerkesszük őket közvetlenül! Mindig használjuk a disztribúcióhoz mellékelt eszközöket erre a célra! |
Az /etc/passwd
Fájl
Az /etc/passwd
egy bárki által olvasható fájl, amely a felhasználók listáját tartalmazza, külön-külön sorokban:
frank:x:1001:1001::/home/frank:/bin/bash
Minden sor hét, kettősponttal elválasztott mezőt tartalmaz:
- Felhasználónév
-
Az a név, amivel a felhasználó belép a rendszerbe.
- Jelszó
-
A titkosított jelszó (vagy egy
x
, ha árnyékjelszavakat használunk). - Felhasználói azonosító (UID)
-
Az azonosítószám, ami a felhasználóhoz van rendelve a rendszerben.
- Csoport azonosító (GID)
-
A felhasználó elsődleges csoportazonosítója a rendszerben.
- GECOS
-
Opcionális megjegyzés mező, amely a felhasználóval kapcsolatos további információk (például a teljes név) hozzáadására szolgál. A mező több, vesszővel elválasztott bejegyzést tartalmazhat.
- Home mappa
-
A felhasználó home mappájára mutató abszolút útvonal.
- Shell
-
Annak a programnak az abszolút útvonala, ami automatikusan elindul, amikor a felhasználó bejelentkezik a rendszerbe (általában egy olyan interaktív shell, mint a
/bin/bash
).
Az /etc/group
Fájl
Az /etc/group
egy bárki által olvasható fájl, amely a csoportok listáját tartalmazza, külön-külön sorokban:
developer:x:1002:
Minden sor négy, kettősponttal elválasztott mezőt tartalmaz:
- Csoportnév
-
A csoport neve.
- Csoportjelszó
-
A csoport titkosított jelszava (vagy egy
x
, ha árnyékjelszavakat használunk). - Csoport ID (GID)
-
Az azonosítószám, ami a csoporthoz van rendelve a rendszerben.
- Taglista
-
Azon felhasználók listája — egymástól vesszővel elválasztva --, akik a csoporthoz tartoznak, kivéve azokat, akiknek ez az elsődleges csoportja.
Az /etc/shadow Fájl
Az /etc/shadow
fájl csak a root és a root jogokkal rendelkező felhasználók által olvasható, a felhasználók titkosított jelszavait tartalmazza, külön-külön sorokban:
frank:$6$i9gjM4Md4MuelZCd$7jJa8Cd2bbADFH4dwtfvTvJLOYCCCBf/.jYbK1IMYx7Wh4fErXcc2xQVU2N1gb97yIYaiqH.jjJammzof2Jfr/:18029:0:99999:7:::
Minden sor kilenc, kettősponttal elválasztott mezőt tartalmaz:
- Felhasználónév
-
Az a név, amivel a felhasználó belép a rendszerbe.
- Titkosított jelszó
-
A felhasználó titkosított jelszava (ha az érték
!
, a fiók zárolva van). - Az utolsó jelszóváltoztatás dátuma
-
Az utolsó jelszóváltoztatás dátuma, az 1970.01.01 óta eltelt napok száma. A
0
azt jelenti, hogy a felhasználónak muszáj megváltoztatnia a jelszavát a következő bejelentkezéskor. - A jelszó minimum életkora
-
A jelszóváltoztatás utáni napok minimális száma, amelyeknek el kell telniük, mielőtt a felhasználó újra megváltoztathatja a jelszót.
- A jelszó maximum életkora
-
Azon napok maximális száma, amelyeknek el kell telnie, mielőtt szükséges lenne a jelszó megváltoztatása.
- Jelszó emlékeztetési időszak
-
A jelszó lejárta előtti napok száma, melyek során a felhasználót figyelmezteti a rendszer a jelszó megváltoztatására.
- Inaktív jelszó időszak
-
A jelszó lejárta utáni napok száma, amely alatt a felhasználónak meg kell változtatni a jelszavát. Ezen időszak után, ha a felhasználó nem változtatja meg a jelszavát, a fiók letiltásra kerül.
- Fiók lejárati dátuma
-
Az a dátum, azaz az 1970.01.01. óta eltelt napok száma, amikor a felhasználói fiók letiltásra kerül. Az üres mező azt jelenti, hogy az a fiók sosem jár le.
- Fenntartott mező
-
Olyan mező, ami későbbi használatra van fenntartva.
Az /etc/gshadow fájl
Az /etc/gshadow
egy olyan fájl, ami csak a root és root jogokkal rendelkező felhasználók által olvasható és a csoportokhoz tartozó titkosított jelszavakat tartalmazza, külön-külön sorban:
developer:$6$7QUIhUX1WdO6$H7kOYgsboLkDseFHpk04lwAtweSUQHipoxIgo83QNDxYtYwgmZTCU0qSCuCkErmyR263rvHiLctZVDR7Ya9Ai1::
Minden sor négy, kettősponttal elválasztott mezőt tartalmaz:
- Csoportnév
-
A csoport neve.
- Titkosított jelszó
-
A csoport titkosított jelszava (akkor használjuk, ha egy felhasználó, aki nem tagja a csoportnak, csatlakozni akar a csoporthoz a
newgrp
paranccsal — ha a jelszó elején!
van, senki nem csatlakozhat a csoporthoz anewgrp
használatával). - Csoport adminisztrátorok
-
Vesszővel elválasztott lista a csoport adminisztrátorairól (megváltoztathatják a csoport jelszavát és hozzáadhatnak vagy eltávolíthatnak tagokat a
gpasswd
paranccsal). - Csoporttagok
-
Vesszővel elválasztott lista a csoport tagjairól.
Most, hogy láttuk, hol vannak tárolva az egyes felhasználói és csoportinformációk, nézzük meg a legfontosabb parancssori eszközöket, amelyekkel frissíthetjük ezeket a fájlokat!
Felhasználó Fiókok Létrehozása és Törlése
A Linuxban egy új felhasználói fiókot a useradd
paranccsal hozhatunk létre és a userdel
paranccsal törölhetjük őket.
Ha egy új, frank
elnevezésű felhasználói fiókot akarunk létrehozni az alapértelmezett beállításokkal, az alábbit kell lefuttatnunk:
# useradd frank
Az új felhasználó létrehozása után jelszót a passwd
paranccsal állíthatunk be:
# passwd frank Changing password for user frank. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully.
Mindkét parancshoz root jogosultságra van szükségünk. Amikor lefuttatjuk a useradd
parancsot, a jelszó- és csoportadatbázisokban tárolt felhasználói- és csoportinformációk frissülnek az újonnan létrehozott felhasználói fiókkal és ha megadtuk, akkor létrejön az új felhasználó home mappája, valamint egy felhasználónévvel megegyező csoport is.
Tip
|
Ne feledjük, hogy bármikor használhatjuk a
vagy
parancsot, hogy alapvető információkat kapjunk az újonnan létrehozott |
A useradd
parancs legfontosabb kapcsolói az alábbiak:
-c
-
Új felhasználói fiók létrehozása egyedi megjegyzésekkel (például teljes név).
-d
-
Új felhasználói fiók létrehozása egyedi home mappával.
-e
-
Új felhasználói fiók létrehozása egy adott dátum meghatározásával, amikor a fiók letiltásra kerül.
-f
-
Új felhasználói fiók létrehozása meghatározva a napok számát, amely alatt a felhasználónak frissíteni kell a lejárt jelszavát.
-g
-
Új felhasználó fiók létrehozása adott GID-del
-G
-
Új felhasználói fiók létrehozása több, másodlagos csoporthoz való hozzáadásával.
-m
-
Új felhasználói fiók létrehozása a home mappával együtt.
-M
-
Új felhasználói fiók létrehozása a home mappa nélkül.
-s
-
Új felhasználói fiók létrehozása egy adott login shellel.
-u
-
ÚJ felhasználói fiók létrehozása egy adott UID-val.
Miután létrehoztuk a felhasználói fiókot, az id
és groups
paranccsal megtudhatjuk a UID-ját, GID-jét és a csoportokat, amelyekhez tartozik.
# id frank uid=1000(frank) gid=1000(frank) groups=1000(frank) # groups frank frank : frank
Tip
|
Ne felejtsük el ellenőrizni és időnként szerkeszteni az |
Ha törölni akarunk egy felhasználói fiókot, a userdel
parancsot kell használnunk. Ez a parancs frissíti a fiókadatbázisokban tárolt információkat, törli az összes bejegyzést, ami az adott felhasználóra vonatkozik. Az -r
kapcsoló eltávolítja a felhasználó home mappáját és annak minden tartalmát, valamint a felhasználó mail spoolját. Azokat a fájlokat, amelyek máshol vannak tárolva, manuálisan kell megkeresni és törölni.
# userdel -r frank
Ahogy az eddigiekben, a felhasználói fiókok törléséhez is root jogokra van szükségünk.
A Skeleton Mappa
Amikor egy új felhasználói fiókot hozunk létre, saját home mappával, az újonnan létrejött home mappába fájlok és mappák másolódnak a skeleton (csontváz) mappából (alapértelmezetten /etc/skel
). Az ötlet egyszerű: a rendszergazda olyan új felhasználókat akar hozzáadni, akiknek a home mappájában ugyanazok a fájlok és mappák vannak. Ezért, ha meg akarjuk határozni a home mappában automatikusan létrejövő fájlokat és mappákat, hozzá kell adnunk ezeket a skeleton mappához.
Tip
|
Vegyük figyelembe, hogy a profilfájlok, amik általában a skeleton mappában vannak, rejtett fájlok. Ezért, ha az összes olyan fájlt és mappát listázni szeretnénk a skeleton mappában, amelyek az új felhasználók home mappájába kerülnek, az |
Csoportok Létrehozása és Törlése
Csoportokat létrehozhatunk vagy törölhetünk a groupadd
és groupdel
parancsokkal.
Ha létre akarunk hozni egy új, developer
nevű csoportot, az alábbi parancsot kell rootként futtatnunk:
# groupadd -g 1090 developer
A parancs -g
kapcsolójával adott GID-val hozhatunk létre csoportot.
Ha törölni szeretnénk a developer
csoportot, az alábbit kell lefuttatnunk:
# groupdel developer
Warning
|
Ne feledjük, hogy ha létrehozunk egy új felhasználói fiókot, az elsődleges és másodlagos csoportnak, amihez tartozik, léteznie kell a |
A passwd
Parancs
Ez a parancs elsősorban a felhasználó jelszavának megváltoztatására szolgál. Bármely felhasználó megváltoztathatja a jelszavát, de csak a root változtathatja meg bármely felhasználó jelszavát.
A passwd
kapcsolójától függően meghatározhatjuk a jelszó elöregedésének bizonyos aspektusait:
-d
-
Egy felhasználói fiók jelszavának törlése (ez üres jelszó beállítását jelenti, így jelszót nem igénylő fiók lesz).
-e
-
A felhasználói fiók jelszóváltoztatásának kényszerítése.
-l
-
Felhasználói fiók zárolása (a titkosított jelszó elé bekerül egy felkiáltójel).
-u
-
Zárolt felhasználói fiók feloldása (eltávolítja a felkiáltójelet).
-S
-
Egy adott fiókjelszó állapotának kiíratása.
Ezek a kapcsolók csak a root számára elérhetőek. A kapcsolók teljes listáját a man oldalakon láthatjuk.
Gyakorló Feladatok
-
Határozzuk meg, hogy az alábbi bejegyzések mely fájlokhoz tartoznak:
-
developer:x:1010:frank,grace,dave
-
root:x:0:0:root:/root:/bin/bash
-
henry:$1$.AbCdEfGh123456789A1b2C3d4.:18015:20:90:5:30::
-
henry:x:1000:1000:User Henry:/home/henry:/bin/bash
-
staff:!:dave:carol,emma
-
-
A következő hét kérdés megválaszolásához használjuk az alábbi kimenetet:
# cat /etc/passwd | tail -3 dave:x:1050:1050:User Dave:/home/dave:/bin/bash carol:x:1051:1015:User Carol:/home/carol:/bin/sh henry:x:1052:1005:User Henry:/home/henry:/bin/tcsh # cat /etc/group | tail -3 web_admin:x:1005:frank,emma web_developer:x:1010:grace,kevin,christian dave:x:1050: # cat /etc/shadow | tail -3 dave:$6$AbCdEfGh123456789A1b2C3D4e5F6G7h8i9:0:20:90:7:30:: carol:$6$q1w2e3r4t5y6u7i8AbcDeFgHiLmNoPqRsTu:18015:0:60:7::: henry:!$6$123456789aBcDeFgHa1B2c3d4E5f6g7H8I9:18015:0:20:5::: # cat /etc/gshadow | tail -3 web_admin:!:frank:frank,emma web_developer:!:kevin:grace,kevin,christian dave:!::
-
Mi a felhasználói azonosítója (UID) és csoportazonosítója (GID)
carol
-nak? -
Milyen shell van beállítva
dave
éshenry
számára? -
Mi
henry
elsődleges csoportjának a neve? -
Kik a
web_developer
csoport tagjai? Közülük kik csoportadminisztrátorok? -
Melyik felhasználó nem tud bejelentkezni a rendszerbe?
-
Melyik felhasználónak kell megváltoztatni a jelszavát a következő bejelentkezésekor?
-
Hány napnak kell eltelnie, mielőtt
carol
-nak jelszót kell változtatnia?
-
Gondolkodtató Feladatok
-
Futtassuk le a
useradd -m dave
parancsot rootként, hogy létrehozzunk egy új felhasználói fiókot. Milyen műveleteket hajt végre ez a parancs? Tételezzük fel, hogy aCREATE_HOME
és aUSERGROUPS_ENAB
az/etc/login.defs
fájlban yes-re vannak állítva. -
Most, hogy létrehoztuk a
dave
fiókot, be tud lépni a rendszerbe ez a felhasználó? -
Azonosítsuk
dave
felhasználói azonosítóját (UID) és a csoportazonosítóját (GID) és az összes tagot adave
csoportban! -
Hozzuk létre a
sys_admin
,web_admin
ésdb_admin
csoportokat és azonosítsuk a csoportazonosítójukat (GID)! -
Hozzunk létre egy
carol
nevű új felhasználói fiókot 1035 UID-val ás állítsuk be asys_admin
csoportot elsődleges csoportként és aweb_admin
ésdb_admin
csoportokat másodlagos csoportként! -
Töröljük az előzőleg létrehozott
dave
éscarol
felhasználói fiókokat és asys_admin
,web_admin
ésdb_admin
csoportokat! -
Futtassuk az
ls -l /etc/passwd /etc/group /etc/shadow /etc/gshadow
parancsot és írjuk le a kimenetet fájljogosultságok szempontjából! A négy fájl közül melyik árnyékolt biztonsági okokból? Tegyük fel, hogy a rendszerünk árnyékjelszavakat használ! -
Futtassuk az
ls -l /usr/bin/passwd
parancsot! Melyik speciális bit van beállítva és mi a jelentése?
Összefoglalás
Ebben a leckében megtanultuk:
-
A felhasználók és csoportok menedzselésének alapjait Linuxban
-
A jelszó- és csoportadatbázisokban tárolt felhasználói és csoportinformációk menedzselését
-
A skeleton mappa karbantartását
-
Felhasználói fiókok létrehozását és törlését
-
Csoportok létrehozását és törlését
-
Felhasználói fiókok jelszavának megváltoztatását
A leckében az alábbi parancsokról beszéltünk:
useradd
-
Létrehoz egy új felhasználói fiókot.
groupadd
-
Létrehoz egy új csoportot.
userdel
-
Töröl egy felhasználói fiókot.
groupdel
-
Töröl egy csoportot.
passwd
-
Megváltoztatja egy felhasználói fiók jelszavát és meghatározza egy jelszó elöregedésének aspektusait.
Válaszok a Gyakorló Feladatokra
-
Határozzuk meg, hogy az alábbi bejegyzések mely fájlokhoz tartoznak:
-
developer:x:1010:frank,grace,dave
/etc/group
-
root:x:0:0:root:/root:/bin/bash
/etc/passwd
-
henry:$1$.AbCdEfGh123456789A1b2C3d4.:18015:20:90:5:30::
/etc/shadow
-
henry:x:1000:1000:User Henry:/home/henry:/bin/bash
/etc/passwd
-
staff:!:dave:carol,emma
/etc/gshadow
-
-
A következő hét kérdés megválaszolásához használjuk az alábbi kimenetet:
# cat /etc/passwd | tail -3 dave:x:1050:1050:User Dave:/home/dave:/bin/bash carol:x:1051:1015:User Carol:/home/carol:/bin/sh henry:x:1052:1005:User Henry:/home/henry:/bin/tcsh # cat /etc/group | tail -3 web_admin:x:1005:frank,emma web_developer:x:1010:grace,kevin,christian dave:x:1050: # cat /etc/shadow | tail -3 dave:$6$AbCdEfGh123456789A1b2C3D4e5F6G7h8i9:0:20:90:7:30:: carol:$6$q1w2e3r4t5y6u7i8AbcDeFgHiLmNoPqRsTu:18015:0:60:7::: henry:!$6$123456789aBcDeFgHa1B2c3d4E5f6g7H8I9:18015:0:20:5::: # cat /etc/gshadow | tail -3 web_admin:!:frank:frank,emma web_developer:!:kevin:grace,kevin,christian dave:!::
-
Mi a felhasználói azonosítója (UID) és csoportazonosítója (GID)
carol
-nak?A UID 1051 és a GID 1015 (a harmadik és negyedik mező az
/etc/passwd
fájlban). -
Milyen shell van beállítva
dave
éshenry
számára?dave
a /bin/bash shellt,henry
a /bin/tcsh shellt használja (a hetedik mező az/etc/passwd
fájlban). -
Mi
henry
elsődleges csoportjának a neve?A csoport neve
web_admin
(az első mező az/etc/group
fájlban). -
Kik a
web_developer
csoport tagjai? Kik ennek a csoportnak az adminisztrátorai?A tagok
grace
,kevin
éschristian
(a negyedik mező az/etc/group
fájlban), de csakkevin
a csoport adminisztrátora (a harmadik mező az/etc/gshadow
fájlban). -
Melyik felhasználó nem tud bejelentkezni a rendszerbe?
A
henry
fehasználói fiók zárolt (a hashelt jelszó előtt felkiáltójel van az/etc/shadow
fájlban). -
Melyik felhasználónak kell megváltoztatni a jelszavát a következő bejelentkezésekor?
Ha a harmadik mezőben (Date of Last Password Change) az
/etc/shadow
fájlban 0 van, a felhasználónak a következő bejelentkezéskor meg kell változtatni a jelszavát. Ezértdave
az, akinek jelszót kell változtatnia. -
Hány napnak kell eltelnie, mielőtt
carol
-nak jelszót kell változtatnia?60 napnak (az ötödik mező az
/etc/shadow
fájlban).
-
Válaszok a Gondolkodtató Feladatokra
-
Futtassuk le a
useradd -m dave
parancsot rootként, hogy létrehozzunk egy új felhasználói fiókot. Milyen műveleteket hajt végre ez a parancs? Tételezzük fel, hogy aCREATE_HOME
és aUSERGROUPS_ENAB
az/etc/login.defs
fájlban yes-re vannak állítva.A parancs hozzáad egy
dave
nevű új felhasználót a rendszer felhasználóihoz.dave
home mappája létrejön (alapértelmezés szerint/home/dave
) és a skeleton mappában lévő fájlok és mappák a home mappába másolódnak. Végezetül egy új csoport jön létre a felhasználói fiók nevével. -
Most, hogy létrehoztuk a
dave
fiókot, be tud lépni a rendszerbe ez a felhasználó?Nem, mivel a
dave
fiók zárolt (láthatjuk a felkiáltójelet az/etc/shadow
fájlban).# cat /etc/shadow | grep dave dave:!:18015:0:99999:7:::
Ha beállítunk
dave
számára egy jelszót, a fiók használhatóvá válik. Ezt apasswd
paranccsal tehetjük meg.# passwd dave Changing password for user dave. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully.
-
Azonosítsuk
dave
felhasználói azonosítóját (UID) és a csoportazonosítóját (GID) és az összes tagot adave
csoportban!# cat /etc/passwd | grep dave dave:x:1015:1019::/home/dave:/bin/sh # cat /etc/group | grep 1019 dave:x:1019:
dave
UID-ja és GID-je 1015 és 1019 (a harmadik és negyedik mező az/etc/passwd
fájlban) és adave
csoportnak nincsenek tagjai (a negyedik mező az/etc/group
fájlban üres). -
Hozzuk létre a
sys_admin
,web_admin
ésdb_admin
csoportokat és azonosítsuk a csoportazonosítójukat (GID)!# groupadd sys_admin # groupadd web_admin # groupadd db_admin # cat /etc/group | grep admin sys_admin:x:1020: web_admin:x:1021: db_admin:x:1022:
A
sys_admin
,web_admin
ésdb_admin
csoportok GID-jei 1020, 1021 és 1022. -
Hozzunk létre egy
carol
nevű új felhasználói fiókot 1035 UID-val ás állítsuk be asys_admin
csoportot elsődleges csoportként és aweb_admin
ésdb_admin
csoportokat másodlagos csoportként!# useradd -u 1035 -g 1020 -G web_admin,db_admin carol # id carol uid=1035(carol) gid=1020(sys_admin) groups=1020(sys_admin),1021(web_admin),1022(db_admin)
-
Töröljük az előzőleg létrehozott
dave
éscarol
felhasználói fiókokat és asys_admin
,web_admin
ésdb_admin
csoportokat!# userdel -r dave # userdel -r carol # groupdel sys_admin # groupdel web_admin # groupdel db_admin
-
Futtassuk az
ls -l /etc/passwd /etc/group /etc/shadow /etc/gshadow
parancsot és írjuk le a kimenetet fájljogosultságok szempontjából! A négy fájl közül melyik árnyékolt biztonsági okokból? Tegyük fel, hogy a rendszerünk árnyékjelszavakat használ!# ls -l /etc/passwd /etc/group /etc/shadow /etc/gshadow -rw-r--r-- 1 root root 853 mag 1 08:00 /etc/group -rw-r----- 1 root shadow 1203 mag 1 08:00 /etc/gshadow -rw-r--r-- 1 root root 1354 mag 1 08:00 /etc/passwd -rw-r----- 1 root shadow 1563 mag 1 08:00 /etc/shadow
Az
/etc/passwd
és/etc/group
fájlok bárki által olvashatók és biztonsági okokból árnyékoltak. Amikor árnyékjelszavakat használunk, egyx
látható ezen fájlok második mezőjében, mivel a felhasználók és csoportok titkosított jelszavai az/etc/shadow
és/etc/gshadow
fájlokban vannak tárolva, amelyek csak a root által olvashatók, valamint néhány rendszerben ashadow
csoport tagjai által. -
Futtassuk az
ls -l /usr/bin/passwd
parancsot! Melyik speciális bit van beállítva és mi a jelentése?# ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 42096 mag 17 2015 /usr/bin/passwd
A
passwd
parancsra SUID bit van beállítva (a sor negyedik karaktere), ami azt jelenti, hogy a parancs a fájl tulajdonosának (a root) jogosultságaival futtatható. Így tudják az átlagos felhasználók megváltoztatni a jelszavukat.